RISIKO- OG SÅRBARHETSANALYSE (ROS) 2009

RAPPORT RISIKO- OG SÅRBARHETSANALYSE (ROS) 2009 Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Risiko- og sårbarhetsanalyse (ROS) 2009 Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT), 10. mars 2010 1

2

Innhold 1 INNLEDNING...5 2 TEKNOLOGI OG UTVIKLINGSTREKK...6 2.1 Cloud Computing IKT-drift i nettskyen...6 2.2 Infrastruktur...8 2.2.1 Innledning...8 2.2.2 Vedlikehold...8 2.2.3 Nye kanaler...8 2.2.4 Drift...9 2.2.5 Beskyttelse av kundedata...9 2.3 Internettkriminalitet...10 2.3.1 Klientprogrammer som ikke er sikkerhetsoppdatert...10 2.3.2 Nettsteder som er sårbare...11 2.3.3 Sesjonssikring...11 2.4 Metoder for tyveri av personinformasjon...12 2.4.1 Hvor finnes personinformasjon...12 2.4.2 Angrep mot bankdatasentraler...13 3 FINANSTILSYNETS FUNN OG OBSERVASJONER...15 3.1 Viktige funn fra IT-tilsyn...15 3.1.1 Finansforetakenes ROS-analyser...15 3.1.2 Utkontraktering...15 3.1.3 Testing av katastrofeløsninger...16 3.1.4 Konfigurasjonsoversikt...16 3.1.5 Styring og kontroll med IKT-virksomheten...16 3.2 Foretakenes egne vurderinger...18 3.3 Analyse av rapporterte hendelser...20 3.3.1 Rapportering av hendelser til...20 3.3.2 Hendelser i 2009...22 3.4 Vurdering av andre aktuelle områder...23 3.4.1 IKT-infrastruktur...23 3.4.2 Utkontraktering og offshoring...24 3.5 Resultater fra gjennomførte spørreundersøkelser...26 3

4 SYSTEMER FOR BETALINGSTJENESTER...28 4.1 Generelt om betalingssystemer... 28 4.2 Risiko og sårbarhet... 29 4.3 Meldeplikten systemer for betalingstjenester... 30 5 IDENTIFISERTE RISIKOOMRÅDER...32 5.1 Skimming... 32 5.2 Identitetstyveri... 33 5.3 Offshoring... 33 5.4 Stor endringstakt... 34 5.5 Katastrofe... 34 5.6 Kompleks infrastruktur... 35 5.7 Transaksjonskjede... 35 6 FINANSTILSYNETS VIDERE OPPFØLGING...36 6.1 Aktuelle tiltak... 36 6.2 Økt vektlegging av brukerstedene... 37 6.3 IT-tilsyn... 37 6.4 Videreutvikling av opplegget for meldeplikt for systemer for betalingstjenester... 38 6.5 Gjennomføring av ROS-analyser... 38 6.6 Hendelsesregistrering og -rapportering... 38 6.7 Informasjon og kommunikasjon... 39 4

1 Innledning foretar årlig en risiko- og sårbarhetsanalyse (ROS-analyse) av finanssektorens bruk av informasjons- og kommunikasjonsteknologi (IKT). Formålet med ROS-analysen er å se hele finanssektoren under ett basert på informasjon har innhentet fra foretakene i løpet av 2009. Informasjonen kommer fra tilsyn, intervjuer og hendelsesrapportering fra foretakene. I tillegg er nasjonale og internasjonale kilder benyttet. Gjennom analysene og dataene har tilgang til, kan risikoutviklingen knyttet til finanssektorens IKT-systemer følges over tid. Dette gjør det mulig å identifisere problemområder og iverksette tiltak på tvers av finansnæringen. Rapporten tar sikte på å gi et mest mulig korrekt bilde av risikosituasjonen og dermed være en nyttig informasjonskilde for enkeltforetak som arbeider med egen risikosituasjon. Et viktig mål i denne sammenheng er bruk og presentasjon av kvantitative data som informasjon for å kunne se omfang og utvikling av identifiserte problemområder. ROS-analysen kan også gi indikasjoner på hvordan sektoren overholder regelverket og etterlever standarder og bransjemessige normer. Hendelsesrapportering for foretak til ble etablert som en frivillig ordning fra november 2007 der finansforetakene varsler om uregelmessigheter eller feil i betalingssystemer til e-postadressen hendelse@finanstilsynet.no. Ordningen ble fra 1. desember 2009 iverksatt som en pliktig rapportering gjennom endring i IKT-forskriften. I ROS-analysen for 2009 presenterer vi også resultater fra s arbeid med IKTinfrastruktur og analyse av problemstillinger knyttet til flytting av IKT-oppgaver ut av Norge. Hensikten med dette arbeidet er å identifisere mulige mangler i styring og kontroll og å identifisere risikoområder og sårbarheter i teknisk infrastruktur som krever tiltak eller oppfølging fra myndighetene. 5

2 Teknologi og utviklingstrekk Det er mange generelle utviklingstrekk i finanssektoren som påvirker foretakenes bruk av informasjonsteknologi. har identifisert følgende områder det er viktig å forstå effekten av for operasjonell risiko. 2.1 Cloud Computing IKT-drift i nettskyen Cloud Computing (CC) 1 er en ny måte å operere driften av internettbaserte tjenester på. CC leverer prosessorkraft, båndbredde og lagringskapasitet et sted i nettskyen, i motsetning til tradisjonelle datasentre som håndterer drift for ulike kunder atskilt i separate partisjoner. Tilbyderen av CC stiller til rådighet en maskinpark som kan utføre parallell prosessering, multipleksing og datalagring for mange ulike kunder i en størrelsesorden ordinære datasentre vanskelig kan konkurrere med. Summen av datakraft gjør det mulig å skalere bruk av dataressursene mer hensiktsmessig, og kunden betaler etter et såkalt pay as you go-prinsipp. Ved å betale for faktisk bruk, kan det bli billigere for kunden å bruke CC enn å skalere egen kapasitet etter maksimal belastning, eventuelt stå i fare for å underdimensjonere egen kapasitet og oppleve misfornøyde sluttbrukere/kunder. Likeledes kan den økonomiske risikoen bli redusert når en tilbyr nye tjenester man på forhånd ikke kjenner bruksmønsteret til. Det er tre ulike modeller for CC med ulik grad av standardiserte tjenester. I den ene enden av skalaen tilbys CC som nærmest ren datakraft i form av prosessorkraft, lagringsplass og IP-nettverk (Cloud Infrastructure as a Service). Modellen setter ingen begrensinger på type applikasjon eller programvare som kan driftes i skyen da kunden tar hånd om dette selv. På den annen side kan ikke CC fullt ut tilby automatiske løsninger for skalerbarhet og reserveløsninger fordi replikering og konsistenskontroller av data er applikasjonsavhengige. I den andre enden av skalaen finner man CC basert på web-applikasjoner bygd på en tradisjonell 3-lags modell med tydelig separering av laget for prosessering og laget for datalagring (Cloud Service as a Service). Kunden bruker applikasjonene gjennom en tynn klient, ofte en web-leser, og kunden har kontroll bare med dette laget. Modellen stiller altså strenge krav til applikasjonsstandardisering, 1 National Institute of Standards and Technology (NIST): http://csrc.nist.gov/groups/sns/cloud-computing/index.html 6

inkludert datalagring. Til gjengjeld medfører dette en forutsigbarhet som gjør det mulig for CC å tilby avanserte mekanismer for å sikre skalerbarhet og tilgjengelighet. Midt på skalaen finner man en modell som er en mellomting mellom de to nevnt over. Brukeren kan til en viss grad velge programmeringsspråk og verktøy for applikasjonene, men kan ikke kontrollere underliggende operativsystem eller omgivelsene applikasjonene kjører i. CC kan tilby automatisk konfigurering og skalering i skyen, men brukeren må angi noen spesifikasjoner ved applikasjonene for at dette skal være mulig. CC kan bidra til å overføre risiko fra den som er eier av tjenesten til den som er leverandør av tjenesten fordi brukerne av CC kan sikre seg forutsigbar drift ved å lene seg på den elastisiteten i ressurstilgang og kapasitetstilpasning som CC tilbyr. Videre kan CC gi stordriftsfordeler i form av spesialkompetanse på maskiner, maskinprogramvare, nettverk og sikkerhet som det kan være vanskelig for et mindre foretak å ha selv. European Network and Information Security Agency (ENISA) har laget en rapport der de vurderer risikoen ved bruk av CC. 2 Den første risikoen de tar opp, er risikoen for tap av styring og kontroll. Dette er en risiko man til en viss grad må være villig til å ta om man ønsker å hente ut gevinster av CC. Den neste risikoen ENISA tar opp, er risikoen for data lock-in. Dette omfatter hvilken garanti kunden har for å hente egne data tilbake dersom han/hun ønsker å bytte driftsleverandør, eller dersom driftsleverandøren skulle gå konkurs eller rammes av andre typer hendelser som setter driftsleverandør ut av spill. For å kompensere for risikoene, må kunden iverksette tiltak som sikrer eierskap og kontroll over egne data. Slik denne teknologien ser ut for øyeblikket, gjelder dette en rekke risikoområder som blir aktualisert dersom finansforetak begynner å bruke CC. er ikke kjent med at finansforetak i Norge har tatt denne teknologien i bruk. CC blir vurdert som en av de store innovasjonene innen datateknologi de neste årene. Teknologien er fortsatt umoden, og mye utvikling gjenstår. Selv om konseptet er umodent som teknologi, er dette også et område som medfører utfordringer knyttet til foretakenes gjennomføring av ROS-analyser. Overholdelse av dagens regelverk i forhold til CC vil også kunne bli en utfordring for foretakene. 2 ENISA: Cloud Computing: Benefits, risks and recommendations for information security (nov. 2009) http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/ 7

2.2 Infrastruktur 2.2.1 Innledning Finansielle tjenester er i stadig større grad automatisert, og de er i realtid i et elektronisk samspill ende til ende mellom samhandlende parter i den tekniske infrastrukturen. De elektroniske transaksjonskjedene kjennetegnes ved at de er automatiserte, og bestillinger skjer i realtid kunden blir ferdigekspedert der og da. Disse transaksjonskjedene blir stadig mer omfattende, og denne trenden fortsetter i 2010. Et eksempel er bruk av BankID for å signere elektroniske dokumenter, sammen med tilbud til kunden om å oppbevare dokumenter i elektronisk arkiv. Mange av transaksjonene blir behandlet i realtid med den følge at dersom systemer ikke er tilgjengelige, er dette godt synlig for brukerne. 2.2.2 Vedlikehold Den globale finanskrisen kan føre til mangel på investeringer i kritisk infrastruktur i enkelte sektorer. Kritisk infrastruktur blir svekket som følge av alder og slitasje, mens krav til service og ytelse øker. Utdaterte systemer blir klattet på, noe som kan føre til ytterligere svakheter. Erfaring indikerer at tilgang til strøm, vannforsyning, eldre generasjoner av datasystemer og transportinfrastruktur er sårbare områder. 2.2.3 Nye kanaler I 2009 så vi fremvekst av nye kanaler for finansielle tjenester. Mobilbank og BankID på mobil er eksempler. Av flere grunner er dette positive tilskudd til distribusjon av slike tjenester. For det første blir tjenestene mer robuste i og med at det nå finnes flere veier fra kunden inn til banken. Dersom fastlinjene svikter, kan kunden i visse tilfeller benytte mobilbanken. For det andre gir dette en mulighet for sikrere autentisering av kunden. Risikoen for såkalt phishing kan reduseres. Et eksempel på phishing er at en svindler presenterer bankkunden for en falsk innloggingsside, for på den måten å tilrane seg kundens identitetskjennetegn. En slik fremgangsmåte er ikke mulig dersom identitetskjennetegn blir sendt over mobilnettet. Skal svindleren kunne tilegne seg kundens elektroniske identitetskjennetegn, må kunden da kunne avlytte både internettsesjonen og informasjonen som går over mobilnettet, noe som er et betydelig mer komplisert angrepsscenario. Nye muligheter, som direkte mobilbank, SMS-bank, betalingskort med RFID-teknologi, generell autentisering og signering av dokumenter kan gi nye sårbarheter. Det blir økt kompleksitet ved at flere av tjenestene vil kunne benytte flere kanaler, for eksempel både SMS, blåtann og RFID-teknologi, flere operativsystemer og nye protokoller. 8

Det mangler standarder for mobile tjenester generelt og for mobilbank spesielt. Den internasjonale standardiseringsorganisasjonen ISO arbeider med å definere krav til mobilbank i forhold til andre standardiseringsorganisasjoners arbeid og i forhold til andre tjenester enn betaling, men dette viser seg å være utfordrende. Chip blir foreløpig oppfattet som sikker teknologi, men brikken skal kommunisere i usikre mobiltelefoner til nye lite testede kanaler og brukergrensesnitt. I tillegg kommer de avtalemessige utfordringene ved ansvar for ulike tjenester fra ulike leverandører på samme mobiltelefon. 2.2.4 Drift På området IKT-utvikling (design, prototyping, koding, testing) er det introdusert effektive og sikre metoder og verktøy i senere år, for eksempel.net og arbeidsmetoder som Scrum og Lean. Det er produsert en rekke nye kundebetjente tjenester, og det forventes at disse skal være tilgjengelige til enhver tid. Denne strømmen av nyutviklede tjenester skal driftes med høye krav til tilgjengelighet og med mange avhengigheter, lange sammenhengende prosesskjeder og ditto avhengigheter. På driftsområdet har mulighetene for effektivisering vært mer begrenset enn innenfor utvikling. Av denne grunn er IKT-drift blitt en mye større utfordring relativt sett enn i tidligere år. Utfordringene er mangeartede. De lange transaksjonskjedene er avhengige av at alle leddene fungerer. Ved at ett ledd i kjeden ikke fungerer som forutsatt, kan det medføre at hele tjenesten blir utilgjengelig. En rekke programmer og driftstjenester utgjør kjøreomgivelsen som tjenesten er avhengig av; operativsystem, web-server, applikasjonsserver, sertifikattjenester, nettverkstjenester osv. Programmene har en rekke parametre som skal settes riktig, vedlikeholdes, fornyes og tunes i lys av endring i belastning, kjøreomgivelse, nye versjoner og sikkerhetsoppdateringer. Dette puslespillet krever en nitid oppfølging og god oversikt. Det er derfor viktig at en så langt som mulig er grundig i utvikling, vedlikehold og drift for å sikre tilgjengelighet, konfidensialitet og integritet i løsningene. 2.2.5 Beskyttelse av kundedata I stadig større grad får kunder tilgang til bankens støttesystemer. I denne sammenheng har bankene økt fokus på å beskytte og kontrollere data innenfor bankens domene. IPsec er et hjelpemiddel for å oppnå dette. IPsec er en protokoll som blant annet benyttes for å beskytte innsyn i maskin til maskinkommunikasjon ved hjelp av kryptering. Enkelte banker har planer om å innføre adgangskontroll for maskiner i nettverket ved hjelp av IEEE 802.1X-protokollen. 9

2.3 Internettkriminalitet Internettkriminalitet økte på flere områder i 2009. I løpet av de siste årene har antall sårbarheter i applikasjoner vært langt høyere enn for operativsystemer. Angrepene som søker å utnytte disse sårbarhetene, følger to spor passordknekking og angrep på web-applikasjoner. SQL Injection, Crosssite Scripting og PHP File Include-angrep er fortsatt de tre mest vanlige når det gjelder å kompromittere web-steder og applikasjonene der. Automatiske programmer gjør at det er relativt enkelt å identifisere og utnytte sårbarheter i web-applikasjoner i stor skala. Høsten 2009 publiserte den amerikanske organisasjonen Center for Strategic and International Studies (CSIS) en oppdatert versjon av Twenty Critical Controls for Effective Cyber Defense. 3 Her gir cyberkriminelle og sikkerhetseksperter samlet uttrykk for viktige kontrolltiltak. 2.3.1 Klientprogrammer som ikke er sikkerhetsoppdatert Såkalte drive by downloads er en ondsinnet kode som lastes ned via nettsteder som brukeren besøker. Et eksempel på dette er reklame som ligger på nettsider og som inneholder ondsinnet kode. Koden infiserer brukerens PC og utnytter svakheter i programmene som kjører der for å tilegne seg økte privilegier. Enkelte er slik at brukeren ikke engang behøver åpne dokumentet som er lastet ned. Brukerens infiserte PC-er benyttes til å spre infeksjon og kompromittere andre interne datamaskiner og sensitive servere som man tror er beskyttet mot uautorisert adgang utenfra. Angriperens mål er å stjele data. Angriperen installerer i den sammenheng bakdører som angriperen kan benytte for å komme inn i PC-en ved senere anledninger. Angripere fortsetter å utnytte sårbarhetene ved å lure brukeren til å åpne dokumenter sendt via e-post eller ved å infisere web-sider med lenker til dokumenter som utnytter sårbarhetene. Ved å utnytte sårbarheter i nettstedets web-innholdssystem (Web Content Management System) kan angripere automatisere infiseringen og ramme svært mange i løpet av få timer. Angrep som utnytter sårbarheter i Adobe, økte i 2009 etter som det ble klart for angriperne hvor enkelt det er å utnytte sårbarhetene for å få kontroll over en maskin. Java scorer ganske høyt på listen over sårbarheter. Java er mye benyttet i web-sider som applets eller som applikasjoner, og Java er tradisjonelt sett sent ute med sikkerhetsoppdateringer. Inntil nylig ble heller ikke gammel, sårbar kode fjernet, med den følge at ondsinnet programvare kunne benytte denne, selv etter at oppdatering var foretatt. For en mer omfattende liste over aktuelle sårbarheter i mye benyttet programvare, viser vi til Qualys liste over de 30 mest aktuelle sårbarheter, se http://www.sans.org/top-cyber-security-risks/. 3 http://csis.org/files/publication/twenty_critical_controls_for_effective_cyber_defense_cag.pdf 10

2.3.2 Nettsteder som er sårbare Angrep mot web-applikasjoner utgjør mer enn 60 prosent av det totale antall angrep. Sårbarhetene utnyttes til å gjøre nettsteder som brukeren oppfatter som sikre, om til ondsinnede nettsteder. Websider fra disse nettstedene vil da inneholde en kode som utnytter sårbarheter i programmer som kjører på brukerens PC. Sårbarheter i web-applikasjoner som SQL-injection og Cross-site Scripting i åpen kildekode så vel som spesialutviklede applikasjoner, utgjør mer enn 80 prosent av sårbarhetene som avdekkes. Til tross for et stort antall angrep og mye pressedekning er det på langt nær alle nettsteder som skanner for vanlige svakheter. Dermed kan de lett bli redskaper i hendene på kriminelle, og skader indirekte nettstedet og kunder som i utgangspunktet har tiltro til nettstedet. Media har rettet oppmerksomhet mot kredittkort og fødselsnummerlekkasjer, men også andre typer data lagres og kan lekke. Betydningen av å beskytte web-applikasjoner mot SQL-angrep er meget viktig. Cross-site Scripting er en tilbakevendende feil i web-applikasjoner. Sidene til et nettsted som brukeren har definert som trygge, viser seg å inneholde ondsinnet Java Script fra eksterne nettsteder som det tiltrodde nettstedet samarbeider med. Sidene har funksjoner for å reflektere kode fra slike eksterne nettsteder, eller de har lenker som henter sider som i sin tur inneholder ondsinnet kode. Nettstedene bør i større grad ta et totalansvar for all kode som, direkte eller indirekte, kjører i brukerens nettleser som følge av at brukeren henter en side via et nettsted. 2.3.3 Sesjonssikring Tilgang til nettbank forutsetter at brukeren identifiserer seg og blir autentisert før en handel/transaksjon kan finne sted. En av de store utfordringene når det gjelder kommunikasjon over Internett er å opprettholde forbindelsen mellom brukerstedet og den autentiserte brukeren under hele sesjonen, slik at transaksjoner som brukeren gjør i løpet av sesjonen, entydig kan knyttes til vedkommende. Det finnes avanserte trojanere som er i stand til å endre på opplysninger som brukeren registrerer på sin PC, og samtidig endre kvitteringer som kommer fra banken på en slik måte at de falske transaksjonene ikke blir synlige. Brukerstedet har ansvar for å programmere tjenesten slik at sesjonssikring blir ivaretatt. Flere teknikker benyttes i denne forbindelse. Mange banker krever reautentisering ved hver transaksjon. Flere banker benytter sekvensnumre, og dersom det kommer trafikk utenom en sekvens, reageres det. 11

2.4 Metoder for tyveri av personinformasjon Identitetstyveri øker både nasjonalt og internasjonalt. Organiserte kriminelle står bak mange av tyveriene. Fra flere hold er det tatt fatt i problemstillingen. samarbeider med andre organisasjoner både i Norge og utlandet for å kartlegge hvordan den operasjonelle risikoen påvirkes av identitetstyveri. 2.4.1 Hvor finnes personinformasjon Identitetstyveri er å stjele, kopiere eller på annen måte tilegne seg personinformasjon for senere utnyttelse. På Internett kan man ved hjelp av noen typer personinformasjon, skaffe seg mer betalingsrelevante opplysninger, som fødselsnummer. Tilgang til finansinstitusjonenes kundeinformasjon kan skje via sårbarheter knyttet til: 1. Informasjon som deles mellom kunde og bank, f.eks. PIN-kode eller fingeravtrykk. 2. Avlesningsutstyr som PIN-tastatur og betalingsterminaler 3. Protokoller for overføring av konfidensiell informasjon 4. Nettverk inn mot brukersteder og finansinstitusjoner 5. Servere og datamaskiner hos brukersteder og finansinstitusjoner 6. Rutiner knyttet til implementering, drifting og bruk av systemer og applikasjoner. 7. Måter å tilegne til seg sensitiv informasjon på, ved å manipulere folk til å gi deg den frivillig 8. Utro tjenere internt i foretakene Bedragere som ikke har kompetanse til å utnytte en persons eller et firmas nettbank, har andre muligheter, for eksempel via tilgang til servere hos nettsteder der det lagres informasjon om kunder. Slike nettsteder, som hotellkjedenes nettsteder, har avtaler med kredittkortselskaper om at de kan legge inn reservasjon på kundenes kontoer etter at det er bestilt hotellovernatting. har sett eksempler på foretak som beholder betalingsinformasjon også etter at kjøpet er gjennomført. Det er ofte begrenset kontroll med sikkerheten i nettsteders servere, selv om disse skal være omfattet av relevante PCI-standarder. Bedragere har derfor ofte god tid til å utforske slike servere der de kan tilegne seg nødvendig informasjon for å gjennomføre handel på steder hvor kortnummer, utløpsdato og CVC-kode er tilstrekkelig informasjon for betaling. Identifikatorer nært knyttet til betaler, som fødselsnummer eller fingeravtrykk, styrker sannsynligheten for at det er riktig person som initierer en betaling. Samtidig skaper det større problemer for offeret hvis disse identifikatorene misbrukes enn hvis en PIN-kode kommer på avveie. Identitetstyveri var i 2009 særlig knyttet til ulike typer skimming (utstyr for å lese magnetstriper). I tillegg utgjør informasjonstapping fra nettverk og bankdatasentraler en reell risiko. 12

2.4.2 Angrep mot bankdatasentraler Tidligere ble det ansett som meget vanskelig å stjele krypterte PIN-koder fra en hardware security module (HSM) og dekryptere kodene. 4 Nå kan slike angrep gjennomføres i praksis. En HSM er en fysisk enhet som ofte er kjernen i en virksomhets sikre infrastruktur. Den lagrer og prosesserer blant annet krypteringsnøkler med tilhørende sertifikater, PKI og passord. HSM-er er utviklet for å kunne brukes av mange slags kunder i mange land. Det gjør at de er laget med flere funksjoner som ikke alle trenger. En dårlig implementering av en HSM kan utnyttes av en inntrenger til å komme forbi sikkerhetssperrene. HSM-er konfigureres og administreres forskjellig, ofte av leverandører som ikke er direkte relatert til en bank. I henhold til PCI-standarden skal PIN-koder være kryptert under overføring. Men en PIN må passere mange HSM-er over flere typer nettverk. Ved hver switch må PIN-koden dekrypteres og rekrypteres med riktig nøkkel for neste steg til bestemmelsesstedet. Ved manipulering og utnyttelse av svakheter i standardiserte programmer for brukergrensesnitt, Financial PIN Processing API, og svak implementering kan bedragere lure HSM-en til å finne masternøkler for systemet. Når sentrale komponenter er kompromittert, blir det trivielt å dekryptere PIN eller passord. Figur 1: Kryptert og dekryptert PIN Kryptert PIN Switch Switch Dekryptert PIN Tappe informasjon 4 The unbearable lightness of PIN Cracking, http://www.arx.com/files/documents/the_unbearable_lightness_of_pin_cracking.pdf 13

Svakheter ved konfigurering av HSM-er er relevant også i Norge, og særlig der dette utføres av leverandører som drifter for mange foretak med ulike behov. 14

3 s funn og observasjoner 3.1 Viktige funn fra IT-tilsyn I 2009 ble det gjennomført 22 stedlige tilsyn og 21 dokumentbaserte IT-tilsyn. Det ble også rapportert om 165 IKT-hendelser, og det ble holdt egne oppfølgingsmøter om disse. Videre ble det gjennomført 16 intervjuer med aktører i finanssektoren. I tillegg har fortsatt arbeidet med å kartlegge IKT-infrastrukturen i finanssektoren. Utkontraktering til land utenfor Norge ble viet ekstra oppmerksomhet i 2009. 3.1.1 Finansforetakenes ROS-analyser har påpekt mangler i foretakenes egne risikoanalyser av IKT-virksomheten. Risikoanalysene er ofte ikke dekkende for hele foretakets IKT-virksomhet. Dette skyldes ofte mangler i foretakenes tilnærmingsmåte i det å sikre at ROS-analysene er komplette. Analysen skal omfatte applikasjonsutvikling, drift, sikkerhet, organisasjon og rutiner, og i tillegg ha deltakere med kompetanse på disse områdene. Videre bør risikoanalyser omfatte vurdering av leverandører med avtaler og leveranser og leverandørenes egne ROS-analyser. Noen ROS-analyser mangler adekvat oppfølging. Det er viktig at ROS-analysen er et levende dokument der identifiserte risikoer regelmessig blir fulgt opp. 3.1.2 Utkontraktering Som nevnt ovenfor, har mange foretak utkontraktert driften til en IKT-leverandør i Norge eller et annet land i Norden. Trenden er at IKT-leverandørene utkontrakterer visse tjenester videre til leverandører i lavkostland lenger unna, såkalt offshoring. Foretakene er i varierende grad og på ulike måter informert om slik utkontraktering til tredjepartsleverandører. Planer kan presenteres som bedriftsinterne endringer og i visse fall ikke vise de faktiske forhold, nemlig at data prosesseres i andre land med annet lovverk, noe som kan påvirke den norske operasjonen. Finansforetakene i Norge er ansvarlige for egen virksomhet, men blir ofte en passiv mottaker av informasjon fra driftsleverandøren når det gjelder planer om utkontraktering til tredjeparts leverandør. Det er finansforetaket som er ansvarlig når tjenestene er utkontraktert, jf. IKT-forskriften. Slike forhold krever oppmerksomhet fra foretakene, og 15

det er naturlig at forholdene blir reflektert i foretakenes egne ROS-analyser. har viet det samme forholdet oppmerksomhet i tilsyn med IKT-leverandørene. 3.1.3 Testing av katastrofeløsninger Testing av katastrofeløsninger er et område der foretakets egne løsninger ikke kan vurderes isolert fra IKT-leverandørenes løsninger. Foretaket må sikre en samlet beredskap med reserveløsninger både for operasjoner som håndteres i eget hus og operasjoner basert på leveranser fra IKT-leverandørene. Katastrofeløsningene vil derfor kreve tester mange ulike steder i kjeden. Også i mindre foretak er det viktig å teste katastrofeplanen for å avdekke feil i opplegget og gi anledning til å utbedre feilene før en reell katastrofe inntrer. 3.1.4 Konfigurasjonsoversikt I de store foretakene er det gjennom IT-tilsynene stilt spørsmål om foretakene har et tilfredsstillende opplegg for å sikre seg oppdatert oversikt over alle konfigurasjonselementer og deres innbyrdes sammenhenger. Ofte er slik informasjon samlet i det som kalles en Configuration Management Database (CMDB). En CMDB kan være arbeidskrevende å etablere, men gir stor gevinst når den først er etablert. Automatisert kobling mellom elementer som på en eller annen måte er avhengige av og kan påvirke hverandre, kan bidra til at endringshåndtering kan gjennomføres med færre feil. Imidlertid må slike oversikter oppdateres kontinuerlig for å ha sikker effekt. Fortsatt er mange hendelser forårsaket av uventede sideeffekter av endringer. 3.1.5 Styring og kontroll med IKT-virksomheten s merknader fra IT-tilsyn gjennomført i 2009 knytter seg til foretakenes styring og kontroll med IKT-virksomheten. Et foretaks IKT-strategi skal understøtte foretakets forretningsstrategi, samtidig som IKT-strategien operasjonaliseres gjennom IKT-prosessene og definerte tiltak. Ofte synes strategien å være løsrevet fra hvordan IKT-arbeidet faktisk blir utført. Det hjelper ikke å ha en lang liste med krav til sikkerhet når grunnleggende sikkerhetsarkitektur ikke er implementert i organisasjonen. Finansforetakenes forretningsmessige drift hviler på utstrakt bruk av IKT-systemer både administrativt og i gjennomføringen av alle typer finansielle transaksjoner. Dette medfører mange faste kostnader hvor kostnadsreduksjoner i stor grad må skje ved å redusere transaksjonskostnader pr. enhet, noe som øker interessen for å delta i større driftsenheter. I denne utviklingen oppstår det økt organisatorisk og teknisk kompleksitet som kan føre til at nye risikoområder må utvikles. Gjennom blant annet stedlige tilsyn har disse problemstillingene kommet frem ved at det er blitt avdekket noe manglende kompetanse og vektlegging på sentrale områder innenfor styring og kontroll innenfor IKT-virksomheten. Samtidig er det avdekket organisatoriske risikoområder i hvordan 16

forholdet mellom forretningsstrategi og IKT-strategi skal implementeres og fungere best mulig operasjonelt. Slike risikoområder kan ha årsak i følgende: Finansforetakenes forretningsområder og IKT-områder har ulike drivere. Førstnevnte er inntekts- og kundeorientert, mens sistnevnte er produksjons- og kostnadsorientert. For å kunne dekke risikoområder, kan det være nødvendig å allokere ressurser for investeringer som ikke nødvendigvis vil vise seg inntektsmessig verken på kort eller lang sikt. Denne formen for egenforsikring for å unngå fremtidige driftsproblemer, vil ikke være synlig fordi alternative kostnader ikke vil oppstå i fremtiden. Følgelig er det nødvendig å ha en utviklet og synlig kompetanse innenfor operasjonell risiko på alle nivåer i foretakenes organisasjon. Finansforetak som har inngått strategiske samarbeidsavtaler med driftsenheter, som igjen har utkontraktert drift og administrasjon til spesialiserte IKT-foretak, har en potensiell operasjonell risiko. Ansvaret for å opprettholde nødvendig bestillerkompetanse ligger alltid hos det foretaket som har konsesjon. Likevel blir det avdekket at kritisk kompetanse ikke blir opprettholdt siden denne antas å bli dekket opp av den samarbeidende driftsenhet og på grunn av målsettingen om å redusere egne kostnader. For finansnæringen i Norge er det en klar konsentrasjonsrisiko knyttet til at næringen har få datasentraler å velge mellom når alternativer for IKT-relaterte spørsmål skal vurderes. Dette kan i seg selv bidra til valg av leverandører som benytter seg av utenlandske ressurser offshore i IKT-driftsleveranser. I tillegg er de ulike foretakene i stor grad bundet til etablerte eldre kjernesystemer med historie fra tidligere samarbeidsstrukturer, og som nå eies av datasentralene. Dette kan påvirke foretakenes muligheter for å skifte leverandør av denne type tjenester. I forbindelse med den dominerende bruken av betalingskort og betalingsterminalene vi har i Norge, samt økende trusler for kriminelle angrep på disse, er det formålstjenlig med et sentralt register for betalingsterminaler. Banknæringen etablerte i 2009 et slikt register som inneholder mest mulig informasjon slik at en skal kunne hindre fremtidige kriminelle angrep på dette området. Dersom det vil forekomme angrep på slike terminaler, vil det være vesentlig lettere å velge tiltak gjennom bruk av et slikt sentralt register. 17

3.2 Foretakenes egne vurderinger I 2009 gjennomførte intervjuer med 16 foretak. Hensikten var å få foretakets vurdering av egen sikkerhetssituasjon. Nedenfor følger spørsmålene som ble gjennomgått og et sammendrag av svarene. 1. Hva ser foretaket på som den/de største risiko/ene ved foretakets bruk av IKT? Selv om innfallsvinkelen er litt forskjellig i de ulike foretakene, nevner mange at mangel på kompetanse er en av de største risikoene forbundet med bruk av IKT. Når flere tjenester og produkter blir automatisert som en følge av nye teknologiske muligheter, øker også kompetansekravet på stadig nye områder. Dette gjelder områder som systemutvikling, både i egen og i leverandørenes organisasjoner, bestillerkompetanse og kompetanse innen IKT-drift. Automatiseringen av produkter og prosesser gjør at den detaljerte forretningsforståelsen forvitrer. Man stoler helt og fullt på IKTsystemene. 2. Hva har vært de største problemer på IKT-området i 2009? Hva er grunnlaget for å kunne identifisere disse? Mange foretak opplevde at kunder var blitt utsatt for en eller annen form for ID-tyveri i 2009. Det vanligste var tyveri av kortdata. Et stort tyveri av kortdata fra innsamling i Spania i 2009 medførte at mange kort ble kompromittert, deriblant også kort tilhørende norske kunder. Mange norske banker sendte i 2009 nye kort til et betydelig antall kunder som et risikoreduserende tiltak. Foretakene nevner i den forbindelse at det er et problem å få informasjon fra de internasjonale kortselskapene. Videre har kort med magnetstripe og PIN blitt skimmet i betalingsterminaler i norske dagligvarebutikker. Denne måten å kompromittere betalingsterminalene på er ny. Det var flere leveranser til IKT-prosjekter i finansforetakene som ikke hadde tilfredsstillende kvalitet. Ofte er det slik at den samme IKT-leverandøren brukes både til drift, applikasjonsutvikling og som bidragsyter til interne IKT-prosjekter. Til utviklingsprosjekter er leveransene ofte ikke presise på tid og ikke av tilstrekkelig kvalitet. Det er ikke bare leverandørene som er årsak til at prosjekter ikke leveres som avtalt. Det er også tilfeller hvor manglende bestillerkompetanse blir nevnt som en årsak. 3. Hva ser foretaket på som de største utfordringene i 2010 med hensyn til risiko ved bruk av IKT? Foretakene prioriterer sikker og stabil drift først, samt beskyttelse av data og personinformasjon mot uautorisert tilgang. Det er viktig å sikre høy tilgjengelighet til tjenestene. Ved at det legges til flere tjenester i portalløsningene, for eksempel i nettbankportalen, øker kompleksiteten. Dermed øker også utfordringen med å sikre stabil drift av løsningene som forventes å være tilgjengelige 24 timer i døgnet 7 dager i uka. Gjennomføring av sikkerhetstester og stadig forbedring av foretakenes sikkerhetsløsninger er viktig for å sikre egen infrastruktur mot inntrenging. Tilstrekkelig testing før produksjonssetting av nye og 18

endrede løsninger er en utfordring. Kvaliteten på testsystemer og testdata er helt avgjørende for at testene kan avdekke feil i løsninger før de blir satt i produksjon. Regulatoriske krav er også en utfordring for finansforetakenes IKT-virksomhet. Som eksempel på dette er ny hvitvaskingslov, betalingsdirektivet som kan medføre flere lovendringer, implementering av Solvens II for forsikringsbransjen og den nye pensjonsreformen vil alle medføre endringer i foretakenes IKT-løsninger. Konkurs eller andre vanskeligheter hos forretningskritiske IKT-leverandører er en aktuell trussel. Motiverte medarbeidere er viktig. Både å ivareta nøkkelkompetanse og å følge opp egne medarbeideres utvikling vil vektlegges, samt tiltak for å øke strategiforståelsen hos medarbeiderne. 4. Hva ser foretaket på som viktige problemstillinger som må adresseres (gjennomføre tiltak) i 2010 med hensyn til IKT-sikkerhet? Øke forståelsen og bevisstheten rundt IKT-sikkerhet hos medarbeiderne er et prioritert område. I forlengelsen av dette er det spesielt nevnt at tilgangskontroll til systemer og data på alle nivåer må gjennomgås slik at sikkerhetsmessige forhold blir kartlagt og tilrettelagt i forhold til dette. Beskyttelse av kortdata er et område som blir nevnt av flere foretak. Foretakenes arbeid med PCIstandarden vil fortsette i 2010. Formålet med å legge inn PCI-standarden i egne løsninger øker sikkerheten ved bruk av kort, men er ingen garanti for at kortdata ikke kan komme på avveie. Banksektoren i Norge har gjennom Bankenes Standardiseringskontor (BSK) definert egne krav til sikkerhet ved bruk av kort, og disse kravene kan i enkelte tilfeller være strengere enn PCI-kravene. BSK har satt i gang arbeid med å sikre at sikkerhetskravene er tilstrekkelige og i samsvar med relevante standarder utarbeidet av PCI Security Standard Council. Oppgradering av katastrofeløsninger står på planen for en del virksomheter. Noen foretak har manglet alternative løsninger med geografisk avstand, og de vil etablere dette i 2010. På verdipapirområdet er det store IKT-prosjekter for utvikling av nytt handelssystem og oppgjørssystem. Dette påvirker alle medlemmene på Oslo Børs som må tilpasse sine løsninger til det nye handelssystemet. Å håndtere leveranser fra prosjektene parallelt med daglig drift nevnes av foretakene som spesielt krevende. For noen foretak med større IKT-prosjekter er det en ny erfaring å bruke mange innleide ressurser, og det er en utfordring å håndtere de eksterne konsulentene på riktig måte. Innen verdipapirområdet nevnes risiko knyttet til den dominansen én leverandør av IKTløsninger utgjør for de norske verdipapirforetakene. Dette kan gi foretakene en ufordelaktig situasjon både når det gjelder pris, kvalitet og tidsmessig gjennomføring av leveransene. 19